Android haker i profesionalni sigurnosni savjetnik Dan Rosenberg (možda ga znate kao djrbliss iz Interneta) završio je vlastitu studiju Carrier IQ i pronašao zanimljive rezultate. Sva ta izvješća o bilježenju pritisaka tipki i špijuniranju SMS poruka izgledaju kao da su okrivljeni na pogrešnoj strani, jer njegovo istraživanje pokazuje da Carrier IQ kako je napisano može prikupljati samo podatke koje mu nosač šalje (poznat kao metrike), pa čak i tada još uvijek se mora konzultirati s profilom (mislite na to kao stranicu s postavkama za bilo koju aplikaciju) da je prijevozniku CIQ napisao posebno za njihovu instalaciju. Svojim riječima:
Poštovani Internet, CarrierIQ čini puno loših stvari. To predstavlja potencijalni rizik za privatnost korisnika i korisnicima treba pružiti mogućnost da se isključe iz njega.
Ali ljudi moraju shvatiti da postoji velika razlika između snimanja događaja poput pritiska tipki i HTTPS URL-a u međuspremnik za uklanjanje pogrešaka (što je po sebi prilično loše), te stvarno prikupljanje, pohranjivanje i prijenos tih podataka nosiocima (što se ne događa), Nakon obrnutog inženjeringa CarrierIQ, nisam vidio niti jedan dokaz da oni prikupljaju ništa više od onoga što su javno tvrdili: anonimne podatke mjernih podataka. Velika je razlika između "pogledaj, napravi nešto kad pritisnem tipku" i "šalje sve moje pritiske tipke na nositelja!". Na temelju onoga što sam vidio, u CarrierIQ-u nema koda koji zapravo bilježi pritiske tipki za potrebe prikupljanja podataka. Naravno, činjenica da u tim događajima ima kuka upućuje na to da buduće verzije mogu zloupotrijebiti ovu vrstu funkcionalnosti, a CIQ bi trebao biti odgovoran i biti pod strogim nadzorom kako se ne bi došlo do ove vrste invazije u privatnost. Ali sva buka u vezi s tim uglavnom je neutemeljena.
Postoji puno razloga za uznemirenost zbog CIQ-a, ali nemojte žuriti sa zaključcima koji se temelje na nepotpunim dokazima.
Pozdrav,
Dan Rosenberg
Pa, što je sa svim stvarima koje vidimo na video snimku EVO-a Trevora Eckharta u akciji? Očito je da postoji, pa što je sa tim? Nismo sigurnosni istraživači, profesionalni ili neki drugi, ali mi smo štreberi koji svakodnevno čitaju o eksploatacijama i sigurnosti. Najbolje što možemo shvatiti je da je HTC te događaje izložio dnevniku dok je slao anonimne podatke s podacima u Carrier IQ aplikaciju. Još uvijek nema dokaza, a nikad nije, da se bilo koji od tih podataka šalje bilo bilo gdje.
Najveća stvar koja se oduzima od ove vijesti je da iako je Carrier IQ zastrašujući, a mnogi od nas smatraju zlo, oni pružaju samo uslugu prikupljanja podataka koje na raspolaganju pružaju prijevoznici i OEM. Ovo treba učiniti transparentnijim, jer to nikada neće nestati - ako vam se ne sviđa ne koristite našu mrežu, nitko vam ne drži pištolj u glavi, vjerovatno će prevoznici stajati na temu, a način na koji su u pravu. Naš izbor u pitanju je da ne trošimo svoj novac s njima, a nebo zna da razumijem koliko je ta ideja iz prve ruke nepopularna. Ali stvari izgledaju sve više kao da prijevoznici i proizvođači ovdje trebaju snositi dobar dio krivice, a cijeli ovaj nered je preko jednostavnog načina prikupljanja podataka koje su već prikupljali.
Kad završimo ovdje, možemo početi gledati kako tvrtke koje su pojurile naprijed vičući "Ne koristimo Carrier IQ na svojim telefonima" prikupljaju iste podatke s nečim drugim, nego Carrier IQ, pa možemo biti sigurni da su promjene sastavljena preko puta, a razapela je malu tvrtku u Silicijskoj dolini.
Izvor: Vulnfactory; Pastebin
